渗透神器CS3.14搭建使用及流量分析
Cobalt Strike集成了端口转发、扫描多模式端口监听Windows exe木马,生成Windows dll(动态链接库)木马,生成java木马,生成office宏病毒,生成木马捆绑钓鱼攻击,包括站点克隆目标信息获取java执行浏览器自动攻击等等。
我用的破解版,正版花美刀
一.安装
条件:java环境(jdk8或11版本),一台靶机(最好是win系统),(一台虚拟机作为服务端)
两种方式:
1. 服务端和客户端都在主机
Cmd命令teamserver_win.bat
服务端ip 123456(密码)
启动cobaltstrike.exe,登录即可
2.服务端在Linux上(我用的是kali),客户端在主机上
将文件拖进kali 在文件下执行
./teamserver ip 123456
(需要附加执行权限)
Windows底下启动客户端即可
二.使用:
①创建监听器
或者点击耳机图标
点击Add按钮添加监听器
CS内置了多种类型的监听器,beacon类型的监听器表示让CS服务程序监听一个端口,foreign类型的监听器表示外部程序监听的端口,例如MSF监听的端口。
这里我选择
windows/beacon_http/reverse_http。
②生成exe木马
点击Attacks按钮生成Windows平台的exe木马。
③投递木马并运行
将木马文件放入靶机中,等待上线
windows作为靶机被攻击的一方运行了黑客提供的 artifact.exe文件,客户端提示被攻击者上线。
④交互
靶机上线进行远控,要注意CS服务器默认60s回连一次,因此指令会有延迟,所以修改一下sleep时间,比如改为1s
右键-session-sleep 改为1
打开交互界面,最下方有个beacon输入框,这就是用来输入命令的地方,命令具体百度,随便搞。
三、基于tcp、dns、ssl协议的木马流量分析
Tcp:
http传输
监听器:
windows/beacin_http/reverse_http.
端口:6666
生成木马文件:Attacks-随意选择木马类型,生成并发送到靶机执行,打开wireshark抓包
木马上线
通过抓取的上线数据包可以看出木马上线后会向控制端提交一个GET /JRLU 请求。
执行远程目录查看操作,查看流
控制端发出目录查看请求后主机首先向控制端GET /visit.js文件后再通过POST /submit.php?id=42612把主机文件目录信息发送给控制端。整个过程都走HTTP协议,全都采用明文传输。
https传输同上
监听器:
windows/beacin_https/reverse_https.
端口:9999
生成木马,上传到靶机,执行并wireshark抓包
木马上线
通过HTTPS加密后传输的数据,看不出明显异常。
DNS:
注!一定要配好DNS服务器,不然抓不到
使用DNS隧道传输
设置监听器设置好监听端口5555,并生成可执行文件EXE木马样本。
在靶机运行木马文件,同时打开wireshark抓包,从流量中可发现主机产生大量DNS请求,直至在控制端上线后才停止DNS请求。在wireshark查看他的流
等待客户端靶机上线,进行交互,打开beacon,输入mode dns-txt ,设置数据传输模式为dns-txt,在wireshark观察流的变化
执行一条shell命令,抓到的数据包可以看出,命令和返回的信息也都已经被加密通过dns协议传输。
SSl:
修改默认证书
Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的,由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被用于防火墙识别所
以最好修改一下
keytool工具介绍
Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中,即.store后缀文件中。
1.查看证书
keytool -list -v -keystore cobaltstrike.store
需要输入密码
2.创建证书命令
keytool -keystore cobaltstrike.store -storepass 123456 -keypass 123456 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
-alias 指定别名
-storepass pass 和 -keypass pass 指定密钥
-keyalg 指定算法
-dname 指定所有者信息
3.创建服务端证书文件
keytool -keystore ./cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
4.cobaltstrike.jar文件中的证书创建
ssl.store
keytool -keystore ./ssl.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
proxy.store
keytool -keystore ./proxy.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias 别名 -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"
创建完新的证书,先打开wireshark抓包,登录客户端
查看数据包
追踪流,发现刚才创建的证书
总之这款后渗透工具非常强大,感兴趣的可以深入研究一下。
链接:
https://pan.baidu.com/s/1IDsTV_RI2U0iiUCbGZmtwg
提取码:g1h1
推荐文章++++